На конференции Black Hat Europe 2023 были представлены новые методы атак на парольные менеджеры для устройств Android. Исследователи из Международного института информационных технологий (IIIT) в Индии представили атаку под названием "AutoSpill", которая направлена на обход защиты и тайно перехватывает сохраненные данные в парольных менеджерах.
В рамках атаки "AutoSpill" злоумышленные приложения используют уязвимость в процессе автоматического заполнения (Autofill) Android. Этот процесс отвечает за передачу имени пользователя и пароля из парольного менеджера в соответствующие поля ввода. Обычно вход в учетные записи в приложениях реализуется с использованием Android System WebView, что представляет собой модуль на базе движка Chrome. Этот модуль разработчики приложений могут настраивать под свои нужды, чтобы внутри своего приложения отображать веб-контент, включая поля ввода для входа.
Согласно BleepingComputer, исследователи продемонстрировали, что возможно извлекать автоматически внесенные данные различными парольными менеджерами при помощи специального вредоносного приложения, и при этом часто не требуется использование JavaScript. Уязвимость, позволяющая провести такую атаку, заключается в недостаточной защите Android, поскольку нет четких политик безопасности для обработки данных автозаполнения в процессах WebView. Это дает возможность вредоносному приложению получить доступ к введенным учетным данным, которые предполагается использовать только внутри WebView для входа.
Отметим важное различие с обычным фишингом: вредоносное приложение не показывает поддельную страницу входа. Вместо этого оно загружает легитимный диалог входа, например, в приложении онлайн-магазина, почтового клиента или облачного хранилища, но тем временем может перехватывать введенные парольным менеджером данные.
Исследователи провели тестирование с использованием таких популярных парольных менеджеров, как 1Password, Dashlane, Enpass, LastPass, Keepass2Android и Keeper, а также встроенного в Android Google Smart Lock. В результате атаке удалось успешно извлечь учетные данные, за исключением случаев Dashlane и Google Smart Lock, которые оказались устойчивыми к извлечению данных без использования JavaScript. Учитывая популярность устройств Xiaomi Poco F1 с Android 10, Samsung Galaxy Tab S6 Lite с Android 11 и Samsung Galaxy A52 с Android 12, эти тесты оказались практически значимыми.